当前位置: 安全纵横 > 安全公告

一周安全动态(2012年7月12日-2012年7月17日)

来源:安恒信息 日期:2012-7

2012年7月第三周(7.12-7.17)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1.安全新闻

1.1 信息7月漏洞预警 建议及时修复

近期,安恒信息专家发布了7月2个安全漏洞。分别是7月2日网上公开的iis短文件名泄露漏洞与Apache Struts2远程命令执行漏洞。

一、Microsoft IIS短文件名泄露漏洞

IIS短文件名泄露漏洞对用户的危害性中等,但影响范围较广,几乎所有版本的IIS均会直接受到影响,安恒信息专家希望引起网站管理员足够的重视,并强烈建议网站管理员检查是否受此漏洞影响并及时修补。避免不必要的财产损失。

我们先来了解一下iis,(英语:Internet Information Services,简称IIS),是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。最初是Windows NT版本的可选包,随后内建在Windows 2000、Windows XP Professional和Windows Server 2003一起发行,但在普遍使用的Windows XP Home版本上并没有IIS。(维基百科)

下面是该漏洞的详细信息:

1、漏洞类型

信息泄露

2、发布时间

2012-07-02

3、漏洞危害

中等

4、影响范围(几乎所有IIS版本)

IIS 1.0, Windows NT 3.51

IIS 2.0, Windows NT 4.0

IIS 3.0, Windows NT 4.0 Service Pack 2

IIS 4.0, Windows NT 4.0 Option Pack

IIS 5.0, Windows 2000

IIS 5.1, Windows XP Professional and Windows XP Media Center Edition

IIS 6.0, Windows Server 2003 and Windows XP Professional x64 Edition

IIS 7.0, Windows Server 2008 and Windows Vista

IIS 7.5, Windows 7 (error remotely enabled or no web.config)

IIS 7.5, Windows 2008 (classic pipeline mode)

5、漏洞描述

windows下通过~表示短文件名,如:test~1, 在IIs中可通过短我文件名的方式判断目标文件是否存在,从而降低文件名暴力猜解的难度。

6、漏洞检查方式

可使用http://test/%2Fconnec~1.as*%2Fx.aspx 如果存在connec开头的asp,aspx等类似文件,将返回文件不存在的错误,否则将返回非法请求。

7、防护建议

目前没有官方补丁,建议使用安恒信息waf进行有效防护。

二、Apache Struts2远程命令执行漏洞

Apache Struts2导致大量使用此框架的网站沦陷,Apache Struts2 框架是在2010年7月14日被发现存在一个严重命令执行漏洞,但随之出现了防范技术,最近随着struts2带回显功能的POC被公布,出现大量的利用工具,并导致大量使用此框架的网站沦陷,并呈扩散趋势。

我们先来了解一下Apache Struts2,Struts2是在struts 和WebWork的技术基础上进行了合并后的全新框架。其全新的Struts 2的体系结构与Struts 1的体系结构的差别巨大。Struts 2以WebWork为核心,采用拦截器的机制来处理用户的请求,这样的设计也使得业务逻辑控制器能够与Servlet API完全脱离开,所以Struts 2可以理解为WebWork的更新产品.

2010年期间Struts2爆发了一远程命令执行漏洞,曾经各种版本的漏洞利用工具让CNVD郁闷不已.

漏洞细节

以POST的方式提交绕过对输入参数的部分过滤。

('\43_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\43context[\'xwork.MethodAccessor.denyM

ethodExecution\']\75false')(d))&('\43c')(('\43_memberAccess.excludeProperties\75@java.util.Collections@

EMPTY_SET')(c))&(asdf)(('\43rp\75@org.apache.struts2.ServletActionContext@getResponse()')(c))&(fgd)

(('\43rp.getWriter().print("dbappsecurity")')(d)) (grgr)(('\43rp.getWriter().close()')(d))=1

\75 (=的8进制)\40(空格的8进制)ongl语句中执行的参数不允许出现空格。当然包括其他老版本的正则 是^#=:都不允许,通杀的话是用\40来替代。

这样上面就是

1.设置上下文denyMethodExecution=false 运行方法执行

2.excludeProperties=@java.util.Collections@EMPTY_SET (@class@调用静态变量)

设置外部拦截器为空

3.myout=org.apache.struts2.ServletActionContext@getResponse() ;得到repsonse的数据

4.myout.getWriter().println("dbappsecurity") ;把response的数据打印到屏幕上。

二.Struts2漏洞目前受到影响的系统包括:

OpenSymphony XWork < 2.2.0

Apache Group Struts < 2.2.0

三.Struts2漏洞修复方案:

下载最新的版本2.3.4:http://struts.apache.org/download.cgi#struts234

或者修改对应jar中的ongl处理逻辑,然后编译打包替换旧的文件。

可使用安恒信息扫描器检测漏洞,运用安恒信息waf防护漏洞,安全点就只保留字母数字,其它的全部删除即可。

安恒信息作为中国国家信息安全漏洞库的成员单位(http://www.cnnvd.org.cn/coopration/cooprationorg/p/2/)以及良好的技术支持团队,是业界领先的应用安全及数据库安全整体解决方案提供商,专注于应用安全前沿趋势的研究和分析。其中安恒信息的“Web应用防火墙”是结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如PCI、等级保护、企业内部控制规范等要求,以国内首创的全透明直连部署模式,全面支持HTTPS,在提供WEB应用实时深度防御的同时实现WEB应用加速、敏感信息泄露防护及网页防篡改,为Web应用提供全方位的防护解决方案。该产品致力于解决应用及业务逻辑层面的安全问题,广泛适用于“金融、运营商、政府、公安、教育、能源、税务、工商、社保、卫生、电子商务”等所有涉及WEB应用的各个行业。部署安恒的WAF产品,可以帮助用户解决目前所面临的各类网站安全问题,如:注入攻击、跨站脚本攻击(钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、信息泄露、应用层DOS/DDOS攻击等等。

安全提醒:

针对安恒信息提供的漏洞信息,漏洞预警已经通报国家漏洞库,并取得高度重视。在此,安恒信息专家提醒广大用户可直接咨询安恒信息的技术专家,尽可能避免因安全风险造成的损失。软件厂家做好软件安全控制,通过自身或第三方安全厂家进行软件安全漏洞检测,避免给用户造成安全威胁。

 

1.2 金山毒霸明文保存用户密码遭黑客拖库

7月9日,专业漏洞报告平台“乌云”曝光金山网络用户中心存在SQL注入漏洞,通过该漏洞黑客可轻松获取金山用户密码。更严重的是,这些密码全部被金山服务器明文保存,此次被黑客窃取数据库(拖库)后,与金山毒霸会员绑定的金山快盘、金山T盘等用户照片、视频隐私面临曝光风险,甚至波及支付宝、QQ等其他重要帐号的安全。

“乌云”漏洞报告平台公布金山漏洞详情

去年底CSDN等网站被黑客拖库泄密时,金山毒霸专家李铁军宣称,网站保存明文密码是不负责任的做法。令人意想不到的是,金山自己也在明文保存用户密码,而且还被黑客轻易入侵数据库。不过,目前外界尚不清楚究竟有多少金山用户的密码已经泄露。

此前,金山官网曾在两月内遭黑客四次攻破。根据该黑客留下的QQ号蛛丝马迹,有网民发现这位黑客两年前曾在百度知道提问如何做黑客,当时还仅仅是菜鸟级别。金山官网也因此被称为“初级黑客练手的实验田”,网站安全性堪忧。

鉴于部分网民习惯使用相同的注册邮箱和密码,在金山泄密的同时,支付宝、QQ邮箱等重要帐号也可能被黑客“撞库”破解。为此金山用户应尽快修改密码,并保证其他重要帐号单独设置高强度密码,不可与金山会员帐号密码重复。

截至发稿前,金山官方仍未对明文保存用户密码事件作出解释。

乌云漏洞平台链接:http://www.wooyun.org/bugs/wooyun-2010-07513

 

1.3 Parallels’Plesk Panel疑似出现零日漏洞

安全实验室警告,一个针对Parallels’ Plesk Panel (Port Number 8443)的零日漏洞正在传播。每天受影响的网站至少增加4000个。地下黑市已经在以 $8,000 美元的价格在兜售。这个0day号称可以获取到控制Parallels’ Plesk Panel的管理密码 。

Parallels Plesk Panel原来还有中国官方网站的。上面介绍说:

已部署多达 250,000 个 Windows 与 Linux 服务器,Parallels Plesk Panel 是主机服务提供商、网站设计师与网站所有者的首选。

相关阅读:

Parallels Plesk Panel 是至今市场上最完整的 Web 主机控制面板。 事实上,它是唯一包括集成 Web 设计工具、SaaS 市场与全自动化付费及交付系统的 Web 主机面板。 而且,它还给正在上升的服务提供商们带来了最大的利益价值;为 Web 设计师们提供了关键的工具;同时是 IT 专家们(与没有 IT 员工的小型企业)的易用型服务器控制面板。。

 

1.4 伦敦奥运应对网络威胁 邀白帽黑客测试

某奥运科技服务提供商表示,该公司已经对伦敦奥运会电脑系统展开过20多万小时的安全测试,完全可以应对潜在的网络威胁。

为了给2012伦敦奥运会提供服务,该公司在全英国部署了约1.15万台电脑和服务器。从下周起,该公司还将启动“奥运科技运营中心”,监控各种可能的网络威胁。为了测试系统的安全性,该公司还邀请了所谓的“道德黑客”(ethical hacker)对系统发起“攻击”,以便发现漏洞和缺陷。

在伦敦奥组委31亿美元预算中,有四分之一花在科技上。整个奥运会期间,该公司预计将处理200万条关键数据,较2008北京奥运会高出30%。

北京奥运会期间,平均每天出现约1200万个潜在的网络安全问题,该公司预计伦敦奥运会将达到1200万至1400万次。尽管挑战艰巨,但专门负责奥运和大型活动的该公司执行副总裁帕特里克·阿迪巴(Patrick Adib)坚称,整体的情况将在可控范围内。(作为2008北京奥组委安全产品和服务提供商,“安恒信息”被奥组委授予“奥运信息安全保障杰出贡献奖”。

 

1.5 美国国防部专家提议政府应雇佣全球顶级黑客

近日,美国一位顶级国防网络安全专家表示,美国应该停止对黑客的大力打击,反之,应该想办法招募他们。美国海军研究生院John Arquilla教授表示现在全球有超过100名的大师级别的黑客可以攻击任何一个网络。虽然现在大部分的顶级黑客都集中在亚洲和俄罗斯国家,但是美国仍应该尽一切可以去雇佣他们,并且给他们特权,向美国的敌人发动网络战争。

Arquilla特别看重黑客近对基地组织发动战争的好机会。

当然Aruilla教授的设想并不是不且实际的,因为其实,美国现在已经有开始在这么做了。据报道,美国曾些以色列对伊朗的核能源研究进行过打击-- 此前我们所熟知的Stuxnet网络公司。除次之外,还有最近发现的超级火焰病毒。

另外,Arquilla还表示俄罗斯现在就是全球最领先的“黑客帝国”,因为他们深知网络战争的战略用途。

 

2.本周关注病毒

2.1 Trojan.DL.Win32.VBcode.avx(木马病毒)
警惕程度★★★

病毒获得运行后,首先会关闭网络共享和Windows防火墙,导致电脑变得十分脆弱,很容易被黑客和木马入侵。随后病毒访问黑客指定网址下载大量流氓软件。病毒完成这些操作,用户看不到任何通知,随后,病毒进行自删除,整个过程十分隐蔽。除此以外,病毒具有很强的修改空间,病毒作者只要稍作修改,病毒的危害性便大大增加,比如更改网址指向其他的病毒木马。

 

2.2 Trojan.Win32.Fednu.ugw(木马病毒)
警惕程度★★★★

病毒运行后创建两个svchost.exe傀儡进程,把感染代码注入到傀儡进程中,相互保护双方进程,防止该病毒文件被复制,删除。随后,病毒会非系统目录的全部可执行文件,当用户运行被感染的程序文件后,Fednu木马就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

 

2.3 病毒名称:Trojan.Win32.FakeIcon.ah(整点劫道者)
警惕程度★★★★

该病毒一旦执行,便会在系统目录下新建一个文件夹,并把自己移动到该路径下,重命名为svchost.exe。然后在注册表中添加指向病毒本身,以实现开机自启动。病毒会在每天的整点时间(即00:00、01:00、02:00……23:00)与后台建立网络连接,连接到黑客指定的服务器。用户电脑被黑客利用后,会自动接收黑客指令,用户大量隐私信息等将被盗取。

 

3.安全漏洞公告

3.1 Nginx Naxsi模块‘nx_extract.py’脚本远程文件泄露漏洞

Nginx Naxsi模块‘nx_extract.py’脚本远程文件泄露漏洞

发布时间:

2012-07-10

漏洞号:

 

漏洞描述:

Nginx是多平台的HTTP服务器和邮件代理服务器。

Nginx中的Naxsi模块中存在远程文件泄露漏洞,该漏洞源于naxsi-ui/ nx_extract.py未正确验证某些输入即用于读取文件。攻击者可利用该漏洞在web服务器进程上下文中查看本地文件,且有助于进一步攻击。Naxsi早期版本至0.46-1版本中存在漏洞。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://nginx.net/

 

3.2 Windows文件/目录名称处理 Shell命令注入漏洞 (MS12-048)

Windows文件/目录名称处理 Shell命令注入漏洞 (MS12-048)

发布时间:

2012-07-10

漏洞号:

CVE ID: CVE-2012-0175

漏洞描述:

Windows Shell是Microsoft Windows中的主图形用户界面。

Microsoft Windows处理特制命令和目录名称时存在远程代码执行漏洞,成功利用后可远程执行任意代码。

安全建议:

Microsoft已经为此发布了一个安全公告(MS12-048)以及相应补丁:
MS12-048:Vulnerability in Windows Shell Could Allow Remote Code Execution (2691442)
链接:
http://www.microsoft.com/technet/security/bulletin/MS12-048.asp

 

3.3 Microsoft数据访问组件ADO缓存值堆溢出RCE远程代码执行漏洞 (MS12-045)

Microsoft数据访问组件ADO缓存值堆溢出RCE远程代码执行漏洞 (MS12-045)

发布时间:

2012-07-10

漏洞号:

CVE ID: CVE-2012-1891

漏洞描述:

Microsoft Data Access组件包括新增的OLE DB 提供程序和各数据源的ODBC 驱动程序。

Microsoft Data Access组件访问初始化错误的内存对象时存在远程代码执行漏洞,成功利用后可导致远程执行任意代码。

安全建议:

Microsoft已经为此发布了一个安全公告(MS12-045)以及相应补丁:
MS12-045:Vulnerability in Microsoft Data Access Components Could Allow Remote Code Execution (2698365)
链接:
http://www.microsoft.com/technet/security/bulletin/MS12-045.asp

 

3.4 Microsoft IIS多个FTP命令请求远程拒绝服务漏洞

Microsoft IIS多个FTP命令请求远程拒绝服务漏洞

发布时间:

2012-07-06

漏洞号:

BUGTRAQ ID: 54276

漏洞描述:

Internet Information Services(IIS,互联网信息服务)是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。

Microsoft IIS 6.0和7.5在实现上存在远程安全漏洞,攻击者可利用此漏洞造成受影响应用不响应。

受影响系统:

Microsoft IIS 7.5

Microsoft IIS 6.0

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.microsoft.com/technet/security/

 

3.5 RSA Access Manager Server会话重放安全限制绕过漏洞

RSA Access Manager Server会话重放安全限制绕过漏洞

发布时间:

2012-07-06

漏洞号:

CVE ID: CVE-2012-2281

漏洞描述:

RSA是安全、合规性、风险管理解决方案。RSA Access Manager可从单个管理控制台对Web应用提供安全访问管理和访问控制。

RSA Access Manager 6.1 SP4之前的6.0.x和6.1以及RSA Access Manager Agent的所有受支持版本在用户退出后,验证会话令牌时存在错误,可被利用重放会话。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.rsasecurity.com